Dernière mise à jour : juillet 2026

En bref : après ce guide, ton Mailcow génère une paire de clés DKIM et tu publies la partie publique sous forme d’enregistrement TXT, pour que les serveurs destinataires puissent vérifier tes signatures.

Prérequis

  • Un serveur Mailcow en fonctionnement avec accès à l’interface d’administration
  • L’accès à la gestion DNS de ton (tes) domaine(s)

Qu’est-ce que DKIM ?

DKIM (DomainKeys Identified Mail) ajoute une signature numérique aux e-mails sortants. La clé privée signe sur le serveur de messagerie, la clé publique est dans le DNS et sert au destinataire pour la vérification. En auto-hébergement, tu as les deux côtés en main — Mailcow génère la paire de clés, tu publies la partie publique.

Pour situer les choses : là où SPF autorise le serveur, DKIM sécurise le message. La documentation de Mailcow recommande explicitement DKIM en plus de SPF et DMARC.

Le point de départ chez Mailcow

Mailcow apporte directement la gestion DKIM : tu génères la clé dans l’interface mailcow et saisis l’enregistrement TXT obtenu dans ton DNS. La documentation est sans ambiguïté ici : « crée un enregistrement TXT DKIM dans ton interface mailcow et définis l’enregistrement TXT correspondant dans tes enregistrements DNS. »

Le sélecteur par défaut est dkim, donc l’hôte DNS est dkim._domainkey.

Guide étape par étape

1. Générer la clé DKIM dans l’interface mailcow

Connecte-toi à l’interface d’administration mailcow et ouvre Configuration → Options → Clés ARC/DKIM (le libellé du menu dépend de la version). Choisis le domaine, un sélecteur (par défaut : dkim) et une longueur de clé (2048 bits recommandé), puis génère la clé. Mailcow t’affiche alors la clé publique sous forme de valeur TXT DNS finale.

2. Créer l’enregistrement TXT dans le DNS

Saisis la valeur affichée par Mailcow chez ton fournisseur DNS :

dkim._domainkey  IN TXT  "v=DKIM1; k=rsa; t=s; s=email; p=..."

La partie p= est la longue clé publique de l’interface mailcow. L’endroit exact où créer l’enregistrement dépend du fournisseur DNS — par ex. Hetzner DNS (n’oublie pas les guillemets) ou Netcup.

3. Chaque domaine individuellement

Comme pour la configuration SPF : chaque domaine géré dans Mailcow a besoin de sa propre clé DKIM et de son propre enregistrement TXT. Génère une clé par domaine dans l’interface et publie-la séparément.

4. Attendre que la modification soit en ligne

Les modifications DNS prennent du temps — quelques heures selon le TTL et la mise en cache avant que chaque serveur voie l’entrée.

Vérifier le résultat

DKIM ne fonctionne qu’une fois que l’enregistrement DNS et la signature dans Mailcow s’accordent. Vérifie cela avec le scanner MXAudit gratuit — il montre DKIM, SPF et DMARC d’un coup d’œil.

Erreurs fréquentes

Clé générée, mais TXT non défini (ou l’inverse). Les deux moitiés doivent s’accorder : la clé dans l’interface mailcow et le TXT dkim._domainkey dans le DNS. S’il en manque une, la vérification échoue.

Clé régénérée après l’entrée DNS. Si tu génères une nouvelle clé dans l’interface, la partie publique change — l’ancien enregistrement TXT ne convient alors plus. Mets à jour l’enregistrement DNS après chaque régénération.

Sélecteur qui ne correspond pas. L’hôte DNS (dkim._domainkey) doit correspondre au sélecteur choisi dans Mailcow. Si tu t’écartes du dkim par défaut, l’entrée DNS doit suivre.

Domaines supplémentaires oubliés. Chaque domaine a besoin de sa propre clé DKIM et de son propre enregistrement — un second domaine oublié envoie sans signature.

Pour aller plus loin